Alles hätte so einfach sein können. Die FWU Institut für Film und Bild in Wissenschaft und Unterricht gGmbH (FWU) schließt mit Microsoft einen Rahmenvertrag (FWU-Vertrag), der es erlaubt, die Softwareanwendungen des Unternehmens kostenlos oder sogar kostenfrei zu nutzen.

Auf den FWU-Vertrag können sich neben anderen Einrichtungen sämtliche allgemein- und berufsbildenden Schulen unabhängig ob in privater oder öffentlicher Trägerschaft berufen. Unter anderem bietet der Vertrag besondere Rabatte auf Cloud-Dienste wie beispielsweise Azure oder Office 365.

Doch nun weißt der Hessische Beauftragten für Datenschutz und Informationsfreiheit in einer Stellungnahme darauf hin, dass „[d]er Einsatz von Microsoft Office 365 an Schulen … datenschutzrechtlich unzulässig [ist], soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“

Cloud-Dienste, da war doch was!

Office 365 ist ein Cloud-Dienst, bei dem Standard-Anwendungen, wie Outlook, Word und Excel nicht mehr zwingend lokal auf dem Rechner des Benutzers ausgeführt werden. Standard ist ihre Nutzung auf Microsoft-Servern, der Zugriff des Benutzers erfolgt über das Internet.

Das Problem bei US-amerikanischen Anbietern besteht im sogenannten CLOUD-Act (Clarifying Lawful Overseas Use of Data Act). Dieses seit Ende März 2018 geltende US-Gesetz ermöglicht es US-Behörden auch abseits von Rechtshilfeabkommen Zugriff auf im Ausland, also beispielsweise in der EU, gespeicherte Daten zu erlangen, sobald das Unternehmen seinen Sitz in den USA hat.

Zwar verbietet eben dies eigentlich die Datenschutzgrundverordnung, aber die Cloud-Anbieter stehen vor einem Dilemma. Entweder verstoßen sie gegen amerikanisches oder gegen europäisches Recht.

Erste Stellungnahme aus Hessen

Der Landesdatenschutzbeauftragte begründet seine Auffassung, nach der ein Einsatz von Microsoft 365 an Schulen datenschutzrechtlich unzulässig ist, mit der besonderen Verantwortung von öffentlichen Einrichtungen im Allgemeinen und Schulen im Besonderen hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Ferner argumentiert er mit der Gewährleistung der digitalen Souveränität staatlicher Datenverarbeitung.

Flankiert werden diese Aussagen durch ein Problem, das Betriebssystems Windows 10 mit sich bringt und das auch bei Office 365 bestehe. Windows 10 (und Office 365) veranlasst eine umfangreiche Übermittlung von Telemetrie-Daten an Microsoft. Bis dato sei nicht abschließend geklärt, welchen Inhalt diese haben (zu dieser Problematik haben wir hier berichtet)

Einwilligung als Lösung?

Auch diesem Rettungsanker erteilt der Datenschutzbeauftragte eine Absage. Zwar griffen viele Schule schon in der Vergangenheit auf eine Einwilligungslösung zurück. Mit einer Einwilligung wäre gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO die Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland (die USA gilt als datenschutzrechtliches Drittland) zulässig.

Der Landesdatenschutzbeauftragte betont:

Im Zusammenhang mit der Nutzung von Office 365 in der Cloud bietet die Einwilligung jedenfalls keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Deshalb ist die Datenverarbeitung unzulässig. Der Versuch eine Heilung durch eine Einverständniserklärung der Eltern zu erreichen, würde auch die besonderen Schutzrechte von Kindern z.B. nach Art. 8 Datenschutz-Grundverordnung (DS-GVO) nicht hinreichend berücksichtigen. Mit der Einwilligung der Eltern ist das Problem also nicht gelöst.“

Hoffnung am Horizont?

Die Tür für Microsoft Cloud-Dienste ist nicht zu. Sobald Microsoft etwaige „Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst … [hat], kann Office 365 als Cloud-Lösung von Schulen genutzt werden. Bis zu diesem Zeitpunkt kann sich Schule aber anderer Instrumente wie z.B. On-Premises Lizenzen auf lokalen Systemen bedienen.“

Einzelfall?

Bisher hat sich nur der Hessische Landesdatenschutzbeauftragte positioniert. Von anderen Aufsichtsbehörden sind noch keine entsprechenden Stellungnahmen bekannt (Stand 11.7.2019). Das könnte u.a. an den gegenwärtigen Schulferien in manchen Bundesländern liegen. Wir werden bei weiteren Publikationen entsprechend informieren. Die Diözesandatenschutzbeauftragten, die Aufsichtsbehörden der Katholischen Kirche, verfolgen dieses Thema ebenfalls und werden sich unseren Informationen nach zeitnah entsprechend positionieren.